脆弱性を管理して、ビジネスリスクに備えよう 〜駆け出しエンジニアがCVEとSBOMを可視化してみた〜

Transcript

1. 日本アイ・ビー・エム株式会社 テクノロジー事業本部 カスタマーサクセス カスタマーサクセスマネージャー 片桐亮人 脆弱性を管理して、ビジネスリスク に備えよう 〜駆け出しエンジニアがCVEと SBOMを可視化してみた〜

2. 写真撮影 動画撮影 資料公開 SNS拡散 ◯ × 後日公開 します ◯ ◯

   #IBMDojo セッション受講における注意事項 セッション中に迷惑行為が発覚した場合は、強制退出、セッション中止などの措置を講じます

3. 片桐亮人 Ryoto Katagiri カスタマーサクセスマネージャー 自己紹介 入社1年目 東京都新宿区出身 電気電子工学専攻 身体運動データの解析 趣味：ボルダリング

   入社して感じたこと： 分からないことだらけ / みんな優しい

4. 目的 • 脆弱性に関するトレンドを知る • CVEやSBOMに対するイメージを具体化する • 脆弱性管理の実践方法を学ぶ このセッションについて

5. まずは皆様に質問です

6. 1. 座学 • 脆弱性に関するトレンド • CVE, SBOMとは？ 2. CVE, SBOMの可視化を行うデモ

   • CVEの可視化とSBOMの作成 • IBM Concertにインポート 3. クロージング・QA アジェンダ

7. 1. 座学 • 脆弱性に関するトレンド • CVE, SBOMとは？ 2. CVE, SBOMの可視化を行うデモ

   • CVEの可視化とSBOMの作成 • IBM Concertにインポート 3. クロージング・QA アジェンダ

8. 脆弱性とは？ 参考：https://pfs.nifcloud.com/navi/words/vulnerability.html 悪意のあるユーザー プログラムの不具合 設計時の想定漏れ 各種OSの脆弱性 ネットワークの脆弱性

9. サイバーセキュリティ上の脅威は 増大している 脆弱性に関するトレンド 2022年の通信数では、各IPアドレス に対して17秒に1回攻撃関連通信が 行われていることに相当 引用：https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html

10. 攻撃によって受ける影響 0% 10% 20% 30% 40% データの破壊 ブランドの評判 認証情報の収集 恐喝

    データ盗難とデータ漏洩 X-Forceが2023年にインシデント対応 エンゲージメントで観察した上位の影響 出典：IBM X-Force 脅威インテリジェンス・インデックス 2024 2025年までにサイバー犯罪による 世界の損失は年間10.5兆ドルに サイバー攻撃は金銭面だけでなく、企業の信頼性にも影響を与える 出典：https://cybersecurityventures.com/hackerpocalypse- cybercrime-report-2016/

11. 脆弱性の数 コードベースに少なくとも1つの オープンソース脆弱性を含む割合 90% Webアプリケーションにおいて なんらかの脆弱性を含む割合 84% 出典：SQAT® Security Report

    2024年春夏号 出典：シノプシス - 2024 オープンソース・セキュリティ&リスク分析 （OSSRA：Open Source Security and Risk Analysis）レポート システムには多くの脆弱性が含まれている

12. 企業は、適切にリスクを順位づけして管理する必要がある リスクへの対応 Pavel V Shevchenko, et al, The nature of

    losses from cyber-related events: risk categories and business sectors, Journal of Cybersecurity, Volume 9, Issue 1, 2023, tyac016, https://doi.org/10.1093/cybsec/tyac016 サイバー事故被害額の平均値は、 中央値の約160倍

13. 1. 座学 • 脆弱性に関するトレンド • CVE, SBOMとは？ 2. CVE, SBOMの可視化を行うデモ

    • CVEの可視化とSBOMの作成 • IBM Concertにインポート 3. クロージング・QA アジェンダ

14. 脆弱性に付与される一意の識別番号 脆弱性を識別し、誰でも閲覧・共有できる仕組みとして、米国の非営利団体MITRE Corporationが米国政府の支援を受けて管理 CVE (Common Vulnerabilities and Exposures)とは？ CVE-2018-13379 VPNのログイン情報を抜かれてしまう、

    特定のVPN機器に存在する脆弱性 西暦 通し番号 CVSS 9.8 CVEの深刻度を評価 するためのスコア （例）

15. CVEの管理 CVEを適切に管理するのは難しい 0 5000 10000 15000 20000 25000 30000 1999

    2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 現在公開されているCVEの年ごとの登録数 CVEの増加 アプリケーションの複雑化 2024年8月、MITRE Corporationのデータを元に作成 生成AIによってアプリケーションの数は、 世界で2028年までに10億に達する 出典：https://www.idc.com/getdoc.jsp?containerId=US51953724 アプリケーションに含まれるオープン ソースコンポーネントの平均数は526 出典：シノプシス - 2024 オープンソース・セキュリティ&リスク分析 （OSSRA：Open Source Security and Risk Analysis）レポート

16. （例）Apache Log4j 2021年12月に「CVE-2021-44228」として、 深刻な脆弱性が報告 どのシステムがLog4jを使用しているかを把握 することが難しかった CVEの管理 CVEを適切に管理するのは難しい 引用：https://www.cybersecuritydive.com/news/log4j-haunts- security-community/702011/

17. Software Bill of Materials: ソフトウェアの部品表 ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な 一覧リスト SBOMとは？ SBOM (json,

    xmlなど) アプリケーション コンポーネント コンポーネント コンポーネント コンポーネント コンポーネント

18. SBOMがない場合、脆弱性がどこにあるか特定するのは難しい SBOMとは？ ? ? ? ? ?

19. SBOMを利用することで構成されているコンポーネントを把握できる SBOMとは？ 脆弱性を迅速に特定

20. 実際のSBOMの例 • 各コンポーネントの提供者 • バージョン • 作成者 • 識別子 •

    依存関係など

21. SBOMを使用した脆弱性の管理に注目が集まっている SBOMに関する近年の動向 2021 年 5 月 バイデン米大統領、国家のサイバーセキュリティの改善に関する大統領令に署名 2021 年 7

    月 SBOM対応を含めた安全なソフトウェア開発フレームワーク（SSDF）が米国連邦政府の ソフトウェア調達要件に 2021 – 2023年 自動車(ISO/SAE21434)、医療機関(IMDRF)、決済システム(PCI DSS)などの国際的な レギュレーションでSBOMの導入またはソフトウェアコンポーネント管理が推奨 2023 年 7 月 経済産業省「 ソフトウェア管理に向けた SBOM（Software Bill of Materials）の導入に 関する手引 」を公開 2024 年 8月 トヨタ自動車、日立製作所など116社が加盟する業界団体がSBOMのルール作りを統一さ せることを発表 2024 年以降 EU圏内で販売される「デジタル要素を持つ全ての製品」を対象にSBOM作成等の セキュリティ要件への適合を要求するサイバーレジリエンス法が施行予定 2024年以降 総務省が通信事業者向けにSBOMの作成を求める新たな指針を策定する見通し https://youtu.be/apo-wDfNPcE?si=85Lz_qY2KRXa7by3 https://www.nikkei.com/article/DGKKZO82910450R20C24A8MM8000/ https://www.nikkei.com/article/DGXZQOUA174RT0X10C24A7000000/ 参考： 出典： https://trends.google.co.jp/trends/

22. 1. 座学 • 脆弱性に関するトレンド • CVE, SBOMとは？ 2. CVE, SBOMの可視化を行うデモ

    • CVEの可視化とSBOMの作成 • IBM Concertにインポート 3. クロージング・QA アジェンダ

23. Demo CVEの可視化とSBOMの作成 IBM Concertにインポート

24. 1. 座学 • 脆弱性に関するトレンド • CVE, SBOMとは？ 2. CVE, SBOMの可視化を行うデモ

    • CVEの可視化とSBOMの作成 • IBM Concertにインポート 3. クロージング・QA アジェンダ

25. 座学 • サイバー攻撃による被害は拡大中 • 企業は適切にリスクを順位づけして管理する必要がある • CVEやSBOMはそのためのツール デモ • サンプルアプリをスキャンしてCVEの可視化とSBOMを生成

    • IBM Concertを使用した実践的な脆弱性の管理 ➢Arena View ➢watsonxに質問 ➢GitHubとの連携 まとめ

26. 目的 • 脆弱性に関するトレンドを知る • CVEやSBOMに対するイメージを具体化する • 脆弱性管理の実践方法を学ぶ このセッションについて

27. • お使いのシステムにおける脆弱性管理の方法を確認してみる • SBOMとCVEを可視化してみる • IBM Concertの動画をチェックしてみる ➢https://mediacenter.ibm.com/media/1_2e6dht1v ➢https://mediacenter.ibm.com/media/1_4451ftxa ➢https://mediacenter.ibm.com/media/1_469nj80q

    Call to actions

28. • slidoのQ&A • マイクオン QA

29. 本セッションの感想をお願い致します

30. ワークショップ、セッション、および資料は、IBMまたはセッション発表者によって準備され、それぞれ独自の見解を反映したものです。それらは情報 提供の目的のみで提供されており、いかなる参加者に対しても法律的またはその他の指導や助言を意図したものではなく、またIBM製品やサービスがお 客様に適用ある特定の法令に適合することを保証するものでもありません。本講演資料に含まれている情報については、完全性と正確性を期するよう努 めておりますが、「現状のまま」提供され、明示または黙示にかかわらず、商業性、特定の目的への適合性、非侵害性を含め、いかなる保証も伴わない ものとします。本講演資料またはその他の資料の使用によって、あるいはその他の関連によって、いかなる損害が生じた場合も、IBMは責任を負わない ものとします。 本講演資料で言及されるIBM製品、プログラム、またはサービスは、IBMがビジネスを行っているすべての国・地域でご提供可能なわけ ではありません。本講演資料で言及される将来の展望（製品リリース日付や製品機能を含む）は、市場機会またはその他の要因に基づいてIBM独自の決 定権をもっていつでも変更できるものとし、将来の製品または機能が使用可能になること、もしくは特定の結果を確約することを意図するものではあり ません。本講演資料は、言及される

    IBM製品またはサービスに適用ある契約条件を変更するものでも、追加の表明または保証を意図するものでもありま せん。 本講演資料に含まれている内容は、参加者の活動によって特定の結果が生じると述べる、または暗示することを意図したものでも、またそのような結果 を生むものでもありません。 パフォーマンスは、管理された環境において標準的なIBMベンチマークを使用した測定と予測に基づいています。ユーザー が経験する実際のスループットやパフォーマンスは、ユーザーのジョブ・ストリームにおけるマルチプログラミングの量、入出力構成、ストレージ構成、 および処理されるワークロードなどの考慮事項を含む、数多くの要因に応じて変化します。したがって、個々のユーザーがここで述べられているものと 同様の結果を得られると確約するものではありません。記述されているすべてのお客様事例は、それらのお客様がどのようにIBM製品を使用したか、ま たそれらのお客様が達成した結果の実例として示されたものです。実際の環境コストおよびパフォーマンス特性は、お客様ごとに異なる場合があります。 • IBM、IBM ロゴ、ibm.com、IBM Concertは、 世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名お よびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、 www.ibm.com/legal/copytrade.shtmlをご覧ください。
31. None